Network Softwarization for IACS Security Applications

Abstract

Nos últimos anos, as redes dos sistemas de automação e controlo industrial (IACS) adoptadas em infraestruturas críticas têm-se tornado mais complexas devido ao aumento exponencial do número de dispositivos conectados. Outrora isoladas e confiáveis devido ao facto de se restringirem à zona de processo e devido à utilização de protocolos proprietários e não documentados, as redes IACS estão, actualmente, conectadas a redes externas/ICT. Esta inter-conectividade, apesar de melhorar a produtividade industrial, conduziu ao aumento do número de ciberataques contra infraestruturas críticas e à respectiva divulgação de falhas de segurança, provando as fragilidades das tecnologias utilizadas. A aplicação de metodologias e procedimentos de segurança tais como a utilização de sistemas de deteção de intrusões, honeypots (probes de segurança) ou gateways uni-direccionais torna-se extremamente complexo (e suscetível a erros de configuração) em arquiteturas de rede tradicionais. Neste tipo de redes, é habitual a coexistência de equipamentos de vários fabricantes, cada um com as suas interfaces e comandos de gestão, configurados a nível individual. A implementação de probes de segurança está também fortemente dependente da sua respectiva localização na topologia da rede. Na ocorrência de um ciberataque, é extremamente complicado que a rede se consiga adaptar automaticamente de forma a bloquear fluxos de comunicação indesejados. Novos paradigmas de rede, tais como as redes programáveis por software (SDN) e a virtualização de funções de rede (NFV) estão a demonstrar resultados promissores em áreas como a computação em núvem (cloud), fornecendo funcionalidades inovadoras para uma gestão e monitorização flexível dos equipamentos de rede. O SDN por permitir a programabilidade da rede e por conseguir abstrair os protocolos de comunicação com os dispositivos de rede através de uma entidade logicamente centralizada - o controlador SDN. O NFV por permitir que a inspeção de pacotes seja conseguida em ambientes virtualizados (máquinas virtuais ou containers) consolidados nos hypervisors do datacenter, ao invés de requerer máquinas físicas dedicadas. Esta tese pretende explorar as sinergias existentes entre o SDN e o NFV de forma a aplicar uma abordagem programática visada à segurança das redes de controlo industrial. É desenvolvida uma arquitetura baseada em SDN para a implementação e rápido deploy de versões containerizadas das probes de segurança típicas do IACS. A arquitetura proposta explora um controlador de SDN distribuído (ONOS) visando a performance e a disponibilidade como atributos de qualidade principais, num ambiente de rede com múltiplos operadores (multi-tenancy).

Over recent years, Industrial and Automation Control Systems (IACS) adopted in critical infrastructures have become more complex due to the increasing number of interconnected devices. Business goals to improve efficiency and productivity within critical infrastructures have connected the once isolated and trusted (due to obscurity) industrial control systems with external networks. This inter-connectivity disclosed and amplified the weaknesses of traditional IACS protocols, leading to a growing number of cyber-attacks specifically targeting critical infrastructures. Enforcing security policies through the deployment of network intrusion and detection systems, honeypots (security probes) or other security mechanisms (such as uni-directional gateways) is hard to accomplish (and often error prone) in traditional network architectures. The network ecosystem is extremely complex, composed of several multi-vendor physical devices which are statically deployed in the network and configured on a per-device level. In the occurrence of a cyber-attack, the network cannot easily block unwanted traffic or evolve to new topologies. New ICT paradigms such as Software Defined Network (SDN) and Network Function Virtualization (NFV) are showing promising results in the cloud computing domain, providing innovative features for flexible and efficient management, monitoring and control of the network. The first (SDN) by allowing network programmability and protocol abstractions from a logically centralized location (the network controller). The later (NFV) by shifting network packet inspection from physical dedicated hardware to virtualized computational instances running in commercial-off-the-shelf hypervisors. This thesis explores the synergies between SDN and NFV to apply a software defined security approach to IACS. An SDN based architecture is proposed and implemented for the easy deployment of containerized versions of typical IACS security probes. The proposed architecture explores the distributed nature of an SDN controller (ONOS) targeting performance and availability in a multi-tenancy network environment.